소개[편집]

rsenal Image Mounter는 Arsenal Recon에서 개발한 이미지 마운트 도구이며 Windows 환경에서 실행 가능하다. Arsenal Recon 홈페이지(http://arsenalrecon.com/apps/image-mounter/Arsenal_Image_Mounter-MountTool_v1.0.015.zip)에서 무료로 다운받아 사용 가능하다. NTFS, FAT32, ReFS, exFAT, HFS+, UFS, EXT3 등의 파일시스템을 지원하며, 지원하는 이미지 포맷은 아래와 같다.

  o RAW/dd
  o EnCase
  o Virtual Machine Images (VHD, VDI, XVA, VMDK 등)

사용법[편집]

Arsenal Image Mounter의 실행했을 때 초기 화면은 [그림 1]와 같다.

[그림 1]Arsenal Image Mounter 초기 화면

  Raw 이미지 파일(dd)을 마운트하기 위해서는 ‘Mount raw image’ 버튼을 클릭한 후 이미지 파일을 선택한다. 이미지 파일 선택 후 ‘Mount options’ 창이 뜨면 기본적으로 ‘Read only’ 옵션이 선택되어 있다. 디지털 포렌식 관점에서 분석하기 위해서는 이미지 변조를 방지해야하기 때문에 그대로 ‘OK’를 클릭하면 빠른 속도로 이미지 파일이 마운트 된다.

  멀티파티 raw 이미지 파일을 마운트하려면 ‘Mount Multi-part raw’, 가상머신 이미지 파일을 마운트하려면 ‘Mount through DiscUtils’, EnCase 이미지 파일(.E01)을 마운트하려면 ‘Mount through libewf’ 버튼을 각각 클릭하면 된다.

  이미지를 마운트하면 [그림 2]과 같이 마운트한 이미지의 정보가 뜨고, 해당 볼륨이 오픈된다. 마운트를 해제할 때는 ‘Device list’에서 대상 이미지를 선택한 후 ‘Remove selected’를 클릭하면 된다.

[그림 2]Arsenal Image Mounter – image mounted

도구기능[편집]

‘Device list’ 영역에 마운트한 이미지 파일의 목록을 보여준다. 해당 영역에 나타나는 볼륨 정보는 아래와 같다.

  o SCSI id   o 이미지 파일 경로 및 이름   o 파티션 레이아웃   o 디스크 시그니처   o 디스크 사이즈   o 용량

또한 [그림 3]과 같이 기본적으로 ‘Read only’ 옵션을 적용하고 있으며 ‘Write original’ 선택 시 마운트한 볼륨 내 파일과 폴더의 수정 및 삭제가 가능하다.

[그림 2]Arsenal Image Mounter – Mount Options

제한사항[편집]

  Arsenal Image Mounter는 Windows Server 2003~2012, Windows Vista~8.1 환경에서 실행 가능하다.

수사 활용 방안[편집]

  현장에서 수집한 디스크의 사본 파일인 디스크 이미지를 분석하기 위해서는 마운트 도구를 사용해야한다. Arsenal Imager Mounter는 EnCase 이미지, raw 이미지, 가상머신 이미지를 지원한다. GUI 형식 및 CLI 형식으로도 제공하며 사용이 간편하고 빠른 속도로 마운트 할 수 있다.